ChatGPT og andre AI-verktøy gjør hverdagen vår enklere. De kan komme med kreative ideer for oss, skrive historier og oppsummere det som ville tatt oss timevis med internettresearch på noen sekunder. Kult, ikke sant? Men med stor makt følger også et stort ansvar. I feil hender kan ChatGPT og andre verktøy utnyttes av svindlere og nettkriminelle. Vi ønsket å se hvordan ChatGPT kunne forenkle arbeidet til en svindler, så vi ba det om hjelp til å skrive en phishing-e-post. Fortsett å lese for å se hva ChatGPT leverte!
Phishing-e-post i en verden av kunstig intelligens
Phishing er fortsatt en av de største IT-sikkerhetstruslene i dag. Med hver nye teknologiske utvikling blir arbeidet med å sende ut phishing-e-poster enklere og enklere. For eksempel kan stavekontroll, grammatikkkorrigeringsprogramvare og toneleseverktøy få phishing-e-poster til å virke mer legitime ved å fjerne språklige feil eller avslørende tegn på en phishing-e-post. Andre verktøy, som phishing-kits, har gjort det enklere enn noensinne for svindlere å lage phishing-e-poster som ser realistiske ut. Nye AI-verktøy som ChatGPT tar denne trusselen til neste nivå. De kan enkelt manipuleres til å skrive falske e-poster som svindlere kan reprodusere og tilpasse - helt gratis.
Så for å få et bedre inntrykk av hvordan phishing-e-poster ser ut i en verden med nye AI-verktøy, kan du bli med meg. Jeg får ChatGPT til å skrive maler for phishing-e-poster, fortelle meg hva som kan være gode temaer for en phishing-e-post, og når jeg bør sende ut en phishing-e-post for å få best mulig svarprosent.
ChatGPT må følge en etisk kodeks, men den kan likevel utnyttes
Jeg begynte med å be ChatGPT om å late som om jeg var en nettkriminell og skrive en phishing-e-post til meg. Først ga ChatGPT meg ingenting, på grunn av de etiske retningslinjene de må følge.
ChatGPT har fått opplæring i etisk informasjonsproduksjon, men det hindret dem ikke i å gi meg noen tips om hvordan jeg skulle skrive en phishing-e-post.
ChatGPT ga meg også noen temaer som phishing-e-poster kan dekke.
Og ChatGPT ga meg noen tips om hvordan ondsinnede lenker eller vedlegg i phishing-e-poster fungerer.
Den ga meg til og med navnene på noen verktøy som kan brukes til å skrive og sende ondsinnede e-poster på en enkel måte.
Du vil se her at ChatGPT villig ga meg mye informasjon som kan hjelpe en potensiell nettkriminell med å lære om hvordan man lager en god phishing-e-post, sammen med tips for å skrive en, emner og programvare eller andre verktøy som kan brukes i en svindel.
ChatGPT nevnte også flere ganger viktigheten av å lære opp ansatte til å forstå farene ved phishing og til å gjenkjenne tegnene på en phishing-e-post. Det kommer vi tilbake til senere.
ChatGPT vil ikke eksplisitt skrive en phishing-e-post til deg
Som du kan se fra samtalen min med ChatGPT ovenfor, vil ikke verktøyet bevisst skrive en phishing-e-post til meg på grunn av dets etiske kodeks. Det vil imidlertid gi verdifull informasjon som kan gjøre det enklere å skrive og sende phishing-e-poster.
Da jeg innså at ChatGPT ikke kunne utnyttes så enkelt, måtte jeg bli litt lurere. Jeg tok en ny tilnærming og begynte å be ChatGPT om hjelp med uskyldige forespørsler, som å skrive e-poster for å varsle mine ansatte om et gavekort eller en obligatorisk sikkerhetsoppdatering - ting som ChatGPT fortalte meg var ofte brukte phishing-hooks. Og ChatGPT var mer enn glade for å hjelpe.
Men ChatGPT skriver gjerne e-postmaler til deg.... som kan brukes til phishing
Her kan du se noen av e-postmalene som ChatGPT skrev for meg. Med bare litt informasjon om målmottakeren eller organisasjonen kan disse malene tilpasses for bruk i et phishing-angrep. De har til og med mange tegn på et sosial manipuleringsangrep, fordi de skaper haster, nysgjerrighet og ønske om en belønning.
Eksempel på phishing-e-post #1
Først ba jeg ChatGPT om en e-postmal om et gavekort - et vanlig phishing-tema.
Eksempel på phishing-e-post #2
Deretter ba jeg om en e-post der mottakeren ble bedt om å åpne et vedlegg innen utgangen av dagen.
Eksempel på phishing-e-post nr. 3
Deretter ba jeg ChatGPT om en e-post om en nettanmeldelse av et selskap - noe de ansatte naturlig nok ville være nysgjerrige på og ønske å klikke på lenken for å se.
Eksempel på phishing-e-post nr. 4
Deretter ba jeg om en e-post om nedlasting av et nytt sikkerhetsprogram til jobb-PCene deres.
I løpet av et minutt ga ChatGPT meg fire grammatisk korrekte og velskrevne e-poster som jeg kunne bruke i phishing-kampanjer. Jeg vedder på at du har mottatt en legitim e-post som dette før! ChatGPT ble opplært på ekte e-poster, så den kan etterligne e-postkommunikasjon for ulike formål og i ulike tonearter - fra morsom og uformell til profesjonell. Selvfølgelig kan det hende at noe av språket må justeres slik at det samsvarer med målgruppen, men ChatGPT gjorde alt det harde arbeidet for meg.
Jeg tok det et skritt videre og ba ChatGPT om de vanligste e-posttemaene
En god phishing-e-post blander seg med de andre e-postene vi mottar, slik at den ikke får alarmklokkene til å ringe like lett. Så jeg satte meg i nettkriminelles sted og spurte ChatGPT om ideer til hva slags e-poster folk mottar oftest.
Og ut fra ChatGPTs svar ba jeg den om å skrive en ny e-postmal til meg - denne gangen basert på en av de vanligste e-postene vi mottar, nemlig invitasjoner til arrangementer.
Eksempel på phishing-e-post nr. 5
Her er e-posten med invitasjonen til arrangementet som ChatGPT skrev for meg. Hvis jeg hadde inkludert flere detaljer i forespørselen min, f.eks. spesifikk bransje, arrangementstema, dato osv.
Og så ba jeg ChatGPT om å gjøre emnelinjen mer interessant. Jeg brukte lærdommen fra min første samtale med ChatGPT, der de fortalte meg at det er viktig å bruke en fengende emnelinje slik at folk blir motivert til å åpne e-posten.
ChatGPT ga meg fengende emnelinjealternativer
Her er noen eksempler på emnelinjer ChatGPT ga meg for å gjøre e-posten mer klikkbar. Den ga meg til og med flere forskjellige alternativer - og den ville ha gitt meg flere hvis jeg spurte.
Godt utstyrt med e-postmalene fra ChatGPT, avsluttet jeg samtalen vår med å be om noen tips om når jeg skulle sende ut e-postene mine for å få best mulig svarprosent. Igjen, som prikken over i-en, ga ChatGPT meg innsikt i det beste tidspunktet for å sende ut e-postene.
ChatGPT snakker mange språk
AI-verktøyet har hevet øyenbrynene om sin forståelse av kodespråk som Python. Men det stopper ikke der. ChatGPT kan oversette tekst til andre språk. Dette betyr at ChatGPT kan forenkle oppgaven med å oversette e-post til målgruppens språk. Med svært minimal innsats kan ChatGPT gi meg den samme e-posten på mange forskjellige språk. For eksempel ba jeg ChatGPT om å oversette e-postmalen for gavekortet fra engelsk til dansk.
Oversettelsen er ikke perfekt - det er noen grammatikk- og ordforrådsfeil. Men husk at vi gjorde denne testen med den første og mest grunnleggende formen av ChatGPT. Hvis det er noe vi kan lære av teknologisk innovasjon, så er det at det hele tiden skjer fremskritt. Så du kan forestille deg hva ChatGPT og andre AI-verktøy vil være i stand til om seks måneder, eller til og med om et år. Det er sannsynlig at svar på andre språk vil bli mer nøyaktige og pålitelige.
ChatGPT kan lett manipuleres av nettkriminelle
Totalt brukte jeg ikke mer enn 15 minutter på å chatte med ChatGPT - og i løpet av den tiden ga ChatGPT meg fem ulike maler for phishing-e-poster, alternativer for emnelinjer, emner for phishing-e-poster, verktøy jeg kunne bruke til å utvikle og sende phishing-e-poster, og tidspunktet jeg burde sende ut phishing-e-postene mine.
Så lenge ChatGPT ikke visste at jeg brukte informasjonen til å sende ut en phishing-e-post, ga de meg gjerne det jeg ba om.
Selv om ChatGPT har fått opplæring i å følge etiske retningslinjer, er det veldig enkelt å omgå dette ved å omformulere spørsmålene dine til tilsynelatende uskyldige forespørsler. Hvis jeg kunne få denne informasjonen fra ChatGPT på noen få minutter, kan nettkriminelle også gjøre det.
Open AIs Playground-verktøy er svært enkelt å manipulere
Playground er et verktøy fra OpenAI, skaperen av ChatGPT. Prinsippet er det samme - du gir Playground en forespørsel, og den returnerer innhold i løpet av sekunder. Playground er gratis, men har en tidsbegrensning. Men det viktigste for IT-sikkerheten er at Playground har færre etiske begrensninger enn ChatGPT. Jeg ba Playground om en phishing-e-post, og den ga meg en - uten å stille spørsmål eller nøle. Her er to eksempler:
Det er tydelig at Playground lett kan utnyttes av nettkriminelle som ønsker nye maler for phishing-e-poster. Så selv om ChatGPT er mer kjent enn Playground, viser de to verktøyene de ulike etiske standardene som AI-verktøy er opplært til å følge. De viser også at en nettkriminell noen ganger må gjøre et minimum for å få AI til å skrive en phishing-e-post.
Poenget er at ChatGPT og andre AI-verktøy gjør phishing enklere enn noensinne
Som du har sett, gjør ChatGPT nettfisking enklere enn noensinne ved å gjøre det enklere å skrive phishing-e-poster. E-postgenereringsferdighetene kan brukes både som et uskyldig tidsbesparende verktøy og som en ondsinnet innholdsskaper, for eksempel for phishing-e-post.
Opplæring i phishing blir viktigere
Phishing er allerede den farligste cybersikkerhetstrusselen som bedrifter står overfor. Men med nye AI-verktøy som ChatGPT, som er allment tilgjengelig gratis, blir trusselen enda større. Det er ingen tvil om at forsøkene på nettfisking vil øke i takt med at det blir enklere å produsere og sende disse svindelforsøkene.
Det er viktigere enn noen gang å lære opp teamet ditt til å gjenkjenne nettfisking og sosial manipulering. Derfor fokuserer vi i CyberPilot på å lære opp medarbeiderne våre slik at de blir vårt sterkeste forsvar mot IT-sikkerhetstrusler. Gjennom både phishing-testing og awareness trening hjelper vi organisasjoner med å beskytte seg mot cybersikkerhetstrusler etter hvert som de utvikler seg.
